2022年CISP教材知識(shí)點(diǎn)整理:信息安全管理體系建設(shè)

CISP 責(zé)任編輯:肖穎慧 2022-04-01

摘要:CISP的考試每個(gè)月都有,考試內(nèi)容共有10個(gè)知識(shí)域,內(nèi)含不同的知識(shí)子域,希賽網(wǎng)CISP頻道為您整理CISP考試教材的知識(shí)點(diǎn),第三章:信息安全管理。更多消息請(qǐng)持續(xù)關(guān)注。

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類,希賽網(wǎng)CISP教材大綱欄目,為大家整理了CISP知識(shí)點(diǎn)梳理,詳情如下:

第三章:知識(shí)域:信息安全管理

3.3知識(shí)子域:信息安全管理體系建設(shè)

3.3.1信息安全管理體系成功因素

信息安全管理就是風(fēng)險(xiǎn)管理,信息安全控制措施的本質(zhì)就是風(fēng)險(xiǎn)處置

3.3.2 PDCA過程

信息安全管理體系采用通用的PDCA(plan-do-check-act或者plan-do-check-adjust)過程方法,PDCA過程方法也稱為戴明環(huán),由美國質(zhì)量管理希賽網(wǎng)戴明博士首先提出

PDCA循環(huán)的4個(gè)階段,策劃-實(shí)施-檢查-改進(jìn)

3.3.3信息安全管理體系建設(shè)過程

1.規(guī)劃與建立

(1)組織背景

建立組織背景時(shí)建立信息安全管理體系的基礎(chǔ),首先應(yīng)該了解組織有關(guān)信息安全的內(nèi)部和外部問題,以及影響組織建立體系時(shí)需要解決的內(nèi)部和外部問題

(2)領(lǐng)導(dǎo)力

管理承諾時(shí)建立信息安全管理體系的關(guān)鍵成功因素之一

(3)計(jì)劃

計(jì)劃的建立時(shí)在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)之上

組織的計(jì)劃必須符合組織的安全目標(biāo)

(4)支持

組織在建立信息安全管理體系中需要獲得資源以建立、實(shí)施、保持和持續(xù)改進(jìn)ISMS

2.實(shí)施與運(yùn)行

3.監(jiān)視與評(píng)審

組織需要通過根據(jù)組織政策和目標(biāo),監(jiān)控和評(píng)估績(jī)效來維護(hù)和改進(jìn)ISMS,并將結(jié)果報(bào)告給管理層進(jìn)行審核

(1)監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)

在評(píng)價(jià)信息安全性能和ISMS的有效性時(shí),應(yīng)該確定需要檢測(cè)和測(cè)量的對(duì)象

選擇適用的監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)方法以確保有效的結(jié)果

(2)內(nèi)部審核

內(nèi)部審計(jì)目的是提供信息確定ISMS是否符合組織自身對(duì)ISMS的要求和對(duì)本國際標(biāo)準(zhǔn)的要求

(3)管理評(píng)審

組織的管理者按計(jì)劃的時(shí)間間隔評(píng)審組織的ISMS,確保其持續(xù)的適宜性、充分性和有效性

管理評(píng)審的輸出應(yīng)包括持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定和任何ISMS需要的變化

4.維護(hù)和改進(jìn)

(1)不符合和糾正措施

(2)持續(xù)改進(jìn)

3.3.4文檔化

1.體系文件分類

體系文件的分類一級(jí)文件(目標(biāo)):方針、政策

二級(jí)文件(措施):制度、流程、規(guī)范

三級(jí)文件(執(zhí)行):使用手冊(cè)、操作指南、作業(yè)指導(dǎo)書

四級(jí)文件(結(jié)果):日志、記錄、檢查表、模板、表單

管理體系的文檔化分為文件和記錄兩部分。文件是管理體系審核的依據(jù),記錄時(shí)管理體系審核的證據(jù)

層次化的文件結(jié)構(gòu)時(shí)構(gòu)成管理體系的重要內(nèi)容之一,通常文件分為4個(gè)層級(jí)

一級(jí)文件:由高級(jí)管理層發(fā)布

二級(jí)文件:由組織管理者代表簽署發(fā)布;二級(jí)文件發(fā)布范圍通常在組織內(nèi)部

三級(jí)文件:包括員工具體執(zhí)行所需的手冊(cè)、指南和作業(yè)指導(dǎo)書

四級(jí)文件:為了有效支撐文件的執(zhí)行,文件必須包含記錄

2.文件控制

(1)文件的建立

只有在有風(fēng)險(xiǎn)的地方才需要建立文件

(2)文件的批準(zhǔn)與發(fā)布

(3)文件的評(píng)審與更新

(4)文件保存

(5)文件作廢

防止作廢文件的非預(yù)期使用

3.記錄管理

(1)記錄的作用

(2)記錄的管理

應(yīng)保留過程執(zhí)行記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄。

熱門:2023年CISP報(bào)名入口 2023年CISP報(bào)考指南

推薦:2023年CISP報(bào)考條件| 2023年上半年CISP考試時(shí)間

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請(qǐng)考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!